[Vtub] VSPO對個資流出事件的報告

a12345390606/25 21:30這是有內鬼的意思?

seer252506/25 21:30怎麼看起來像BG裡面有人外洩表單= =

OochunoO06/25 21:30內部機密居然沒開特定使用者才能瀏覽的權限..

AkiHimeTMT06/25 21:30一旦跟西岸扯上關係就沒有能全身而退的

digitai106/25 21:30但是基本上啥都沒講 重點就URL流出導致能查看

t12859506/25 21:30所以看起來不是單純的自爆耶

OochunoO06/25 21:31這隨便一個人把連結丟出去就炸了 外洩者甚至不用留下

OochunoO06/25 21:31閱覽紀錄

s22shadowl06/25 21:31沒擋權限直接開連結就是偷懶啊

murderer201306/25 21:31有內鬼 關門 放狗

qoos062006/25 21:32感覺就內部人員有出問題 不然表單好好的沒事也不會改權

qoos062006/25 21:32限

stan123106/25 21:32是個員工都能看的意思 所以抓不出來是誰洩漏

SuiseiTrain06/25 21:32團滅

macocu06/25 21:32就那種連結給了就會看到，沒給連結就不知道

ttcml06/25 21:33柯南bgm

zzro06/25 21:33大概沒有給員工google企業版帳號 所以文件也沒辦法預設成

storyo1141306/25 21:33這資安思維很失敗 後續很艱辛了

zzro06/25 21:33本企業的帳號才能觀看?

macocu06/25 21:33我怎記得之前也有類似的事件

AbukumaKai06/25 21:33公告發了 但像是沒發

uligaga06/25 21:33未來幾年內各大企業勢的新人 可能會在活動過程中飽受這

uligaga06/25 21:33份表單帶來的困擾 真是苦了這些從業者與受害者

AbukumaKai06/25 21:34問就是內鬼在搞

alan310006/25 21:34這狀況很多..aws s3之前也預設全公開 爬蟲有機會爬到

hasroten06/25 21:34有問題吧 正常要限定使用者==

digitai106/25 21:35我也記得這種東西你企業版本是預設關閉的吧?

alan310006/25 21:35有可能google doc預設有編輯用url 但沒預設非公開

A5Watamate06/25 21:35Google表單更改閱覽權限不是會通知所有共用者嗎

digitai106/25 21:35所以他不是按白名單 直接按有網址者可查看?

f173102506/25 21:36這根本大家直接隨便看 根本不用流出

alan310006/25 21:36或著有資安小白以為沒人知道url就不會被hack就隨便設定

macocu06/25 21:36你非公開還是外流阿，url跑出去了

Y199906/25 21:36流出（X）直接開放（O）

hasroten06/25 21:36照他寫法看起來是只要知道url的就能看

intela0325206/25 21:36就跟你youtube影片設定非公開一樣，只要有網址就能看

macocu06/25 21:36就跟之前YT有些影片要點連結才看得到，你查詢查不到

asd4565406/25 21:37這下精彩了 BG這下光這案子要解決都不知要花費少資源

intela0325206/25 21:37只是影片本身不會被放在推送頁面

digitai106/25 21:37恩 然後不知道誰直接把這網只給出去了

alan310006/25 21:37沒擋權限就會被爬蟲爬到 但資安小白可能就不知道

intela0325206/25 21:37這就是便宜行事的下場，不管流出的是不是故意，傷害

intela0325206/25 21:37都造成了

AbukumaKai06/25 21:37他意思就是權限設成有URL就能看 然後URL不知道被誰外

AbukumaKai06/25 21:38流 超白癡

hasroten06/25 21:38九日那個是不是也是這樣

tsubasa092206/25 21:38應該補一個BG 那個連結，是說可能不只vspo 同一天底

tsubasa092206/25 21:38下有其他也發現被編輯可能有外洩的可能性

macocu06/25 21:38這種就企業負責資料的使用者習慣會決定資料安全程度

AbukumaKai06/25 21:38日本資安 瓦拉瓦拉

chatoff06/25 21:38如果krkr講一週前有通知是真的 那Vspo這週都沒查嗎

GaoLinHua06/25 21:38會用google表單徵才的公司= =

Atima06/25 21:38一家公司把徵才資訊放到骨狗文件 恩...我以為是團購捏

qoos062006/25 21:38google表單權限 只有作者和給協作者權限或全公開 沒有所

qoos062006/25 21:38謂給連結才能看 表單給連結能看就是設定成全公開

AbukumaKai06/25 21:38他把整個BG都拖下來 意思該不會是全公司都這樣處理吧

ttcml06/25 21:39九日那個應該是駭客，這個字裡行間感覺在暗示內鬼

Y199906/25 21:39可能kr有講，但他們看一看覺得沒問題

AbukumaKai06/25 21:39超級白癡

uligaga06/25 21:39全部怪罪日企文化也不夠全面吧 尤其該行業首當重視資安意

uligaga06/25 21:39識

digitai106/25 21:39是 我說白名單就是給協作者權限

a1207331106/25 21:39放google文件還好 但企業版可以限定只有同公司能看吧

digitai106/25 21:39你知道網址就有 那就是全公開

hasroten06/25 21:39全公司都這樣處理也太鬼故事了吧==

a1207331106/25 21:39就算給連結也沒差

storyo1141306/25 21:40用google不是問題 資安太爛還是把頂級金鑰外流

a1207331106/25 21:40省錢用免費版還給連結就無解了

digitai106/25 21:40你在協作權限狀態點進去 會有申請帳號送出通知

digitai106/25 21:40然後作者會接收到 過了才點德進去

lim192506/25 21:41BG底下的都出事耶，還有說到確認6/18就有人來信反應

seer252506/25 21:41BG整個都有這個狀況 這樣是BG的人把URL外洩了吧

intela0325206/25 21:41除非是有內鬼去改成全公開+流出網址

storyo1141306/25 21:42這種分享對管理人很偷懶 不用在那邊被通知要追加名單

digitai106/25 21:42資 安 鬼 故 事 人家說要變第三大箱的事務所

seer252506/25 21:42不然子公司的人 能去動到母公司其他旗下公司的權限?

digitai106/25 21:42這種東西處理的向是高中期中團體報告分享

Y199906/25 21:426/18那個不會就是kr吧，剛好一週前，笑死

intela0325206/25 21:42不然單純流出RUL這件事是永遠存在的風險，就算是無意

amd735606/25 21:42這邊擺明是BG問題 只是VSPO個資最多才一堆人集火打

gox111706/25 21:42才一萬多 小事情啦

intela0325206/25 21:42本來就該用權限來防止風險

Ttei06/25 21:42很像某國人喜歡玩的盒攻擊

st108397106/25 21:43看起來就是回報給母公司等處理 不過連個別限定使用者

st108397106/25 21:43都沒也太天兵…

tsairay06/25 21:43看了一下,齁也是用google表單報名的,所以用google不是

tsairay06/25 21:44甚麼大問題

macocu06/25 21:44要嘛懶，要嘛負責的人完全沒概念

asus040806/25 21:44DM了一周沒發現 等KRKR爆出來才知道 笑死

digitai106/25 21:44用估狗從來不是問題 是你設定權限的概念

otosukisugi06/25 21:45他這不就是爆料出來了才知道出問題了

lim192506/25 21:45雖然文內沒指名不過有說今天PO文的一位是在之前有反應

killme32306/25 21:45本來就不是用google的問題啊...

qoos062006/25 21:46一定有人拿有權限的帳號 偷偷亂搞才會這樣 不然表單製作

qoos062006/25 21:46好 沒事也不會去設定全公開的權限

shadow032606/25 21:47brave groups承認一周前的確有收到推特簡訊通報，說因

shadow032606/25 21:47為這個通報方式在他們處理上造成了延誤

hasroten06/25 21:48三小 還能推給通報的喔

shadow032606/25 21:49照公告的寫法，其中6/25通報的人應該是krkr

AbukumaKai06/25 21:49你們怎麼不用OOO來通報 害我們處理慢了^^

yuniko98k06/25 21:49是說如果他們以前都這樣處理 現在才出事也很神奇

tsairay06/25 21:50業務擴充,人力沒跟上就容易出這種包吧

intela0325206/25 21:51出包的是BG集團，VSPO只是用同一個系統

intela0325206/25 21:51BG官網公布的那一篇比較詳細

macocu06/25 21:51推特延誤其實偏容易，但要看他們推特是不是每天上百訊息

otosukisugi06/25 21:51加起來上萬件洩露

stan123106/25 21:53推特沒有追隨 可能會被設置在垃圾訊息區內

st108397106/25 21:55看起就是負責關的以為沒什麼關了就close掉對應 要慘了

digitai106/25 21:56推特18日有接收到 說沒及時反應 就當垃圾流言了吧

st108397106/25 21:57不過限定url外流的話的確有可能是內鬼，但不限定人員

st108397106/25 21:57就是天兵了

wahaha200506/25 21:59因為BG非上市，不知道正社員多少

wahaha200506/25 21:59但是BG這兩年招的新人，比虹更多…

wahaha200506/25 21:59因為BG這兩年吸引及開了很多新團

fish733306/25 22:00熟悉的BG回來了

UzInSec06/25 22:01一周前6/18有人私訊提醒 今天才確認到私訊存在 嗯...

opman54306/25 22:05這鍋可大條了，掉的可是人資

tsairay06/25 22:07集團擴充太快,但管理體制沒跟上吧,還是用小公司的做事

tsairay06/25 22:08方式,都是方便就好

winklly06/25 22:09這種包我只能說 夕鶴

bluesheep81606/25 22:11有內鬼外流URL 再亂傳啊

LoKingSer06/25 22:12超雷，聽說這是第３大箱？

intela0325206/25 22:12就算不是內鬼還是有可能外流阿，誰知道哪個員工會

intela0325206/25 22:13腦抽把連結貼錯地方

winklly06/25 22:16一開始就不應該把連結開出來吼

digitai106/25 22:17也不說外流 你一開始就白名單模式就沒這問題啊

yuniko98k06/25 22:20我覺得這也不是單純白名單問題了 這內部管理都有問題

yuniko98k06/25 22:20只用連結就算只給員工看也很雷

LittleJade06/25 22:25有連結就能上就等於公開了啊

yumenemu61006/25 22:25幹這蠢到連當鬼故事都沒資格

yumenemu61006/25 22:25所以一星期前就有通知警告是真的嗎

Y199906/25 22:27公司說有人用推特訊息告訴他們，但沒被處理

jimmygaygay06/25 22:28我在想如果用一些比較特殊的搜尋引擎

jimmygaygay06/25 22:28是不是透過內文關鍵字就可以搜到

jimmygaygay06/25 22:28這種只要連結就能看的表單？

Oswyn06/25 22:32內部管控問題 連結換成是檔案也還是會外流

st108397106/25 22:33不可能搜到 谷歌也是每個網站都有先碰過才能建立起ind

st108397106/25 22:33ex 要能搜到的話要嘛爬蟲到要嘛外洩擴散了

crossworld06/25 22:33出這包有點誇了吧==

qoos062006/25 22:33表單是被改成全公開 這邏輯上一定是內部的問題

waitan06/25 22:55感覺有內鬼

nothingbut06/25 22:56資安鬼故事

VL100306/26 21:18能生連結不代表公開，但問題是權限設定太隨便。

VL100306/26 21:18例如這種檔案應該只能有少許的人看得到，甚至需要個別給權

VL100306/26 21:19限，假設給 HR 好了，其他理論上要鎖到拿到連結也看不了。

VL100306/26 21:20懶一點的就直接設定給組織內成員，然後就會被其他部門看到

leo12516090906/27 16:59chatgpt真的滿滿支語，以後學生記者網紅都用ai寫文

leo12516090906/27 16:59章支語警察要加班加到死了==